PROGRAMM
Vorträge – IT-DEFENSE 2015 |
Informationen zu den Vorträgen folgen nach Freigabe durch die Referenten.
Darknet: Ein Einblick in die Untergrundszene und die Marktmechanismen der organisierten Kriminalität – Volker Kozok
Der Vortragende stellt die grundlegenden Mechanismen des sogenannten Darknets oder Deep-Webs vor und beschreibt die einzelnen Nutzergruppen mit ihrer Motivlage. Einzelne Bereiche des Darknets werden erläutert bevor im zweiten Teil des Vortrages am Beispiel des Dread Pirate Roberts (DPR) einer der schillerndsten Akteure des Darknet vorgestellt wird. Ross Ulbricht aka DPR wurde als Betreiber des größten Online-Marktplatzes SILKROAD vom FBI festgenommen. Am Beispiel des Falles SILKROAD wird die Funktionsweise der illegalen Online-Marktplätze sowie die Aktionen der Ermittlungsbehörden gegen die neue Form des Cybercrime dargestellt. In den Schlussgedanken wird noch einmal der auf die Problematik des Rechts auf Anonymität und Unentdeckbarkeit und der Notwendigkeit einer funktionierenden Bekämpfung der Cyberkriminalität eingegangen.
Nach einer kurzen Einführung wird auf folgende Fragen eingegangen:
- Warum hilft das TOR-Netz auch der dunklen Seite und warum ist das "nicht-durchsuchbare Netz" keine Erfindung der Datenschützer?
- Ist Verschlüsselung nun Opferschutz oder Täterschutz?
- Wenn die NSA alles liest und auswertet, warum gibt es dann noch Cybercrime?
- Darknet und Hacktivism - wie Cyberaktivisten vom dunklen Netz profitieren.
Zum Schluss wird in einem Exkurs noch ein Update auf Lulzsec und Co angeboten, das sich vor allem an Teilnehmer der vorangegangenen Konferenzen richtet.
Unwrapping the Truth - Analysis of Mobile Application Wrapping Solutions - Ron Gutierrez
Einer der neusten Trends bei BYOD-Lösungen ist „Mobile Application Management (MAM)“. Damit können Unternehmen ihre bestehenden Applikationen so einbinden, dass sie Richtlinien-Management und Daten/Transport-Sicherheit auf Applikations-Ebene ausführen statt auf Geräte-Ebene. Unternehmen von heute stehen vor einer schwierigen Wahl: Es gibt eine Vielzahl von BYOD Application Wrapping-Produkten auf dem Markt, jedes mit seinem eigenen, farbenfrohen Datenblatt und gewichtigen Sicherheits-Versprechen. Wie gut erfüllen diese BYOD Application Wrapping-Lösungen ihre Versprechen? Und vielleicht ebenso wichtig: Wie gut schützen sie vor realen mobilen Gefahren?In diesem Vortrag werden wir die Application Wrapping-Lösungen von einigen der größten kommerziellen BYOD-Produkten auf dem Markt analysieren. Wir werden mit Reverse Engineering aufdecken, wie diese Application Wrapping-Lösungen für iOS und Android funktionieren. Außerdem werden wir ihre Authentifizierung, Kryptographie und Interprocess Communication (IPC) sowie die Client-seitigen Security Control-Implementierungen analysieren. Zum Schluss werden wir die Sicherheitslücken untersuchen, die wir in großen kommerziellen Produkten aufgedeckt haben und zeigen, wie diese sensible Informationen gefährden könnten.
Geheimwaffen der Kommunikation – Leo Martin
Einen solchen Vortrag über die Kunst, Menschen an sich zu binden, hat es noch nie gegeben: ein Ex-Agent, dessen Aufgabe es war, V-Männer aus dem Bereich der Organisierten Kriminalität zu gewinnen, um an brisante Informationen zu gelangen, verrät seine besten Strategien. Wildfremde Menschen vertrauten ihm und verrieten ihm geheimstes Insiderwissen. Hier gibt er sein Erfolgsgeheimnis preis und verrät auf eindrucksvolle Weise, wie es uns allen ganz leicht gelingt, Kontakt aufzunehmen, Vertrauen zu gewinnen und andere von sich zu überzeugen.
In einem fesselnden Mix aus fachlich fundierten Fakten und interaktiven Experimenten macht Leo Martin weiter die Erfolgsfaktoren wirksamer Kommunikation sichtbar: unsere unterbewusst ablaufenden Denk- und Handlungsmuster. Lernen Sie die Geheimnisse fairer und anerkennender Kommunikation kennen, einzusetzen und zu schätzen!
Durch intelligente Interaktionen überwindet Leo Martin die sonst übliche Distanz zwischen Vortragendem und Zuhörern. Seine interaktiven Experimente machen die Kommunikationstheorie erlebbar und erlauben einen einfachen Transfer in die Praxis.
Computer Security - I think we can win – Bill Cheswick
In vielerlei wichtigen Punkten funktioniert das Internet spektakulär gut. Ein Großteil der Wirtschaftsunternehmen weltweit nutzt es zu ihrem großen Vorteil. Aber es gibt auch Kriminalität und Spionage, und die Angreifer sind äußerst kompetent und motiviert. Mittlerweile verzweifeln erfahrene IT-Sicherheitsleute. Dieselben Bugs scheinen sich seit Jahren beharrlich zu halten, während Gelerntes missachtet oder vergessen wird. Das geht jetzt schon seit Jahrzehnten so.
Aber ich bin Optimist. Auch wenn sich Probleme wie ein Trommelfeuer ständig wiederholen, befinden wir uns immer noch am Anfang des Spiels und machen die üblichen Anfängerfehler. Trotz des unglaublichen Fortschreitens von Moore’s Law ist unsere Software nicht viel besser als vor 30 Jahren.
Das wird im Laufe der kommenden Jahrzehnte besser werden. Wir verfügen über Tools und Techniken, die wir noch nicht sehr weit erforscht oder angewendet haben. Wir können die Oberhand gewinnen – ja, es ist möglich, ein sicheres Programm zu schreiben. Es geht um unsere Computer - in unseren Netzwerken mit der Software unserer Wahl: Wir haben den Heimvorteil. Also sollten wir auch in der Lage sein zu gewinnen.
The Psychology of Security – Ross Anderson
Ein faszinierender Dialog entwickelt sich zwischen Psychologen und Sicherheitsingenieuren. Auf der Makroebene werden gesellschaftliche Überreaktionen auf Terrorismus durch die falsche Wahrnehmung von Risiken und Unsicherheiten verursacht, die tief in der Psychologie verwurzelt ist. Auf der Mikroebene machen Betrugsfälle einen immer größeren Teil der Straftaten aus. Mit der Weiterentwicklung der Sicherheitstechniken wird es einfacher, Menschen zu betrügen anstatt Computer zu hacken oder in Systeme einzudringen.
Betrugsfälle lassen sich oft mit Neigungen und Haltungen erklären, die aus der Evolution unserer Vorfahren hervorgegangen sind.
Auf einer tieferen Ebene geht es bei Psychologie und Sicherheit auch um grundlegende wissenschaftliche und philosophische Fragen. Die Hypothese der Machiavellischen Intelligenz besagt, dass wir hohe Intelligenz nicht entwickelt haben, um bessere Werkzeuge zu verwenden, sondern um andere Affen effektiver als Werkzeuge einzusetzen: Primaten, die besser betrügen können oder besser in der Aufdeckung von Betrügereien anderer sind, haben mehr Nachkommen. Doch in der Online-Welt werden viele Signale, die wir für ein sicheres Urteilsvermögen benötigen, nicht mehr beachtet. Es ist viel einfacher, eine Bank-Website zu kopieren, als eine Bank zu übernehmen. Aber selbst wenn die Systeme einigermaßen sicher sind, glauben die Benutzer das nicht, und das geht wirklich ins Geld.
Sicherheit ist sowohl ein Gefühl als auch eine Realität. Beide unterscheiden sich. Der Abstand wird immer größer und bedeutender. Ich beschreibe, wie die Sicherheitsingenieure jetzt beginnen, mit Psychologen, Verhaltensökonomen, Anthropologen und auch Philosophen zusammenarbeiten, um neue Ansätze für die Begrenzung von Risiken, Manipulation und Betrug zu entwickeln.
State of the Art in IPv6 Attack and Defense – Fernando Gont
In den letzten Jahren hat die für die Internetprotokollstandardisierung zuständige Internet Engineering Task Force (IETF) verschiedene Aktivitäten bei der IPv6-Sicherheit gestartet. Diese Aktivitäten reichen von Informationsdokumenten zur Aufklärung und Beratung der Netzwerkbetreiber bis hin zu neuen Protokollfunktionen oder Änderungen, die darauf abzielen, aufgedeckte Schwachstellen zu beseitigen.
Weitere durch zahlreiche Entwicklungen gekennzeichnete Bereiche sind die IPv6-Security-Assessment- und Angriffstools. Hier sind neue Tools aufgetaucht, die ein Vakuum im Pentester-Toolkit ausfüllen. Das SI6 IPv6-Toolkit ist dafür ein prominentes Beispiel. Es ist das einzige portable IPv6-Security-Assessment- und Angriffs-Toolkit mit einer Vielzahl von Werkzeugen, die von Packet-Crafting-Tools bis zu hochentwickelten IPv6-Reconnaissance-Tools reichen. Die meisten davon umfassen Techniken, die in der von Ihnen genutzten Penetration-Testing-Suite nicht enthalten sind.
Fernando Gont berichtet über neue IPv6-Security-Aktivitäten bei der IETF. Er fasst die jeweils wichtigsten Aspekte zusammen und beschreibt den Implementierungsstatus anhand der populärsten Betriebssysteme – und gibt damit einen Einblick in die aktuellen IPv6-Verteidigungstechniken. Außerdem präsentiert er die wichtigsten Funktionen der neuesten IPv6-Security-Tools (einschließlich der Komponenten des SI6 Networks' IPv6 Toolkits) mit Live-Demonstrationen der Tools. Er gibt Ihnen damit einen umfassenden Überblick über die neuesten IPv6-Angriffstechniken.
Defense-in-Depth or just LOL (Layers On Layers)? – Rahul Kashyap
In diesem Vortrag gebe ich eine pragmatische Sicht auf die sogenannte “Defense in Depth”, eine Strategie, die Unternehmen heute empfohlen wird. Wir betrachten, wie die Sicherheitsbranche auf Bedrohungen reagiert und wie der Begriff “Defense in Depth” geprägt wurde.
Dann wechseln wir den Gang und lernen etwas darüber, wie Angreifer die Schwachstellen in unseren Sicherheitssystemen ausnutzen und Nutzer infizieren, obwohl verschiedene Ebenen von Sicherheits-Software eingesetzt werden. Um diesen Punkt zu veranschaulichen, werden wir eine Schwachstelle ausnutzen, in dem wir verschiedene Verteidigungsebenen umgehen, die für gewöhnlich bei Organisationen im Einsatz sind.
Bevor man eine Defense-in-Depth-Strategie entwirft, ist es wichtig, die Einschränkungen jedes Layers zu kennen und darum herum zu planen. Tut man dies nicht, kommt es zu einem “LOL” für die Angreifer.
The Future of Incident Response – Bruce Schneier
Schutz und Erkennung sind nicht alles und Lücken sind unvermeidbar. Daher ist die Incident Response ausgesprochen wichtig geworden. In diesem Vortrag werden die wirtschaftlichen und psychologischen Faktoren innerhalb des Bereichs der IT-Sicherheit untersucht und die Zukunft der Incident Response und somit der Branche beschrieben. Es wird behandelt, wie die Response-Technologie im Unterschied zu erkennenden und präventiven Maßnahmen die Menschen eher unterstützen als ersetzen soll. Um dies zu verstehen, ist eine systemtheoretische Betrachtung der Incident Response erforderlich. Dieser Vortrag bedient sich an einem Konzept der US Air Force: OODA-Loop. Durch den wirksamen Einsatz des Kreislaufs von Beobachten (observe), Orientieren (orient), Entscheiden (decide) und Handeln (act) zeigt der Vortrag, wie wir Incidence-Response-Maßnahmen optimieren können und liefert hilfreiche Einblicke in die wohl wichtigste Disziplin zur Aufrechterhaltung der IT-Sicherheit im kommenden Jahrzehnt.
RFIDler - RFID SDR FTW! – Adam Laurie
Still und unauffällig wurde die HF-Welt durch Software Defined Radio revolutioniert. Bisher hat für RFID jedoch noch keine derartige Revolution stattgefunden. Durch die starke Zunahme von RFID-/NFC-Geräten ist es unwahrscheinlich, der einen oder anderen Technik im Alltag nicht zu begegnen. Ob nun der Autoschlüssel, die Karte zur Eingangstür, der Fahrausweis, die kontaktlose Kreditkarte oder der Reisepass – gewiss haben Sie gerade eines dieser Objekte in Ihrer Tasche!
RFIDler ist ein neues Projekt in Form einer offenen Plattform, das von Aperture Labs Ltd. entwickelt wurde. Ziel ist es, Software-Defined-Radio-Konzepte für das RFID-Spektrum zu nutzen. Wir haben eine kleine, preiswert zu realisierende Open-Source-Plattform geschaffen - sie ermöglicht jeglichem entsprechend leistungsstarken Mikroprozessor Zugang zu den Rohdaten, die durch die Over-the-Air-Konversation zwischen Tag und Spule des Lesegeräts erzeugt wurden. Das Tool kann ebenfalls als Standalone-‚Hacking‘-Plattform für RFID-Manipulation/-Untersuchung dienen. Alles andere bleibt Ihnen überlassen!
Weitere Informationen in englischer Sprache finden Sie unter https://www.kickstarter.com/projects/1708444109/rfidler-a-software-defined-rfid-reader-writer-emul
Ich sehe, also bin ich … Du - Starbug
Dass man Menschen bei der Passworteingabe über die Schulter schauen kann ist bekannt. Und auch, dass man bestimmte biometrische Merkmale mit einer Kamera fotografieren kann oder Spuren der Merkmale an Gegenständen findet. Bisher ging man davon aus, dass man sich für solche Angriffe in der unmittelbaren Nähe der auszuspähenden Person befinden musste. Der Vortrag soll klar machen, dass dem nicht so ist. Es werden Ergebnisse unserer Untersuchungen vorgestellt, die zeigen, dass biometrische Merkmale und Passworteeingaben auch aus großer Entfernung oder gar remote durch Kameras in Mobiltelefonen direkt oder indirekt (durch Reflexionen im Auge) ausgespäht werden können.
Whiteboard Warriors – Jayson E. Street
Experten im Bereich IT-Sicherheit sind stets bemüht, zum Schutz immer bessere Mauern zu bauen. Dabei werden Sicherheitsmaßnahmen so entwickelt, wie ein Sicherheitsexperte es tun würde; nicht jedoch, wie ein Angreifer diese angreifen würde. Wie wäre es, wenn Sie sich mit jemandem zusammensetzen, der für die Tätigkeit als Angreifer bezahlt wird?
Es wird keine PowerPoint-Folien geben; ebenso wenig wird jemand vorne stehen und eine Zeit lang einen Vortrag halten, nach dem sie lediglich wenige Minuten haben, um Fragen zu stellen.
Wir werden uns einfach nur für Fragen und Antworten zusammensetzen. Fragen, die Sie schon immer einmal stellen wollten, vor deren Antwort Sie jedoch Angst hatten! Sollten keine Fragen aufkommen, werde ich die Stille füllen und Methoden aufzeigen, mit denen ich gewisse Angriffe entschärfte und von bestimmten Angriffen erzählen, die ich gegen meine Kunden durchführte. Die Teilnehmer sollten mit Fragen und Problemstellungen erscheinen – und auch wenn ich nicht versprechen kann, alle Antworten parat zu haben, versichere ich Ihnen, dass ich Sie auf dem Weg zur Lösung zumindest gut unterhalten werde!
BREAKING in BAD! (I’m the one who doesn’t knock) – Jayson E. Street
Ich habe festgestellt, dass, auch wenn ich nicht viel mit Social Engineering am Hut habe, doch einige ziemlich seltsame Aktionen dabei sind. Zudem nehme ich scheinbar drei Hauptrollen ein (allesamt hinreißend), um zu versuchen, an mein Ziel zu gelangen. Ich dachte, es wäre toll, zumindest eine Geschichte pro Rolle zu erzählen. Manche mit Bildern, andere mit witzigen Kommentaren. Auch wenn alle drei mit Möglichkeiten zusammenhängen, die mir meinen Erfolg verwehrt hätten. Ziel ist es nicht, zu zeigen, wie ‚L337‘ ich bin oder diese Angriffe sind. Weit entfernt davon soll dieser Vortrag zeigen, wie EINFACH diese Angriffe durchgeführt werden konnten und wie jeder einzelne Angriff einen gemeinsamen Faden hat, der alle miteinander verknüpft! Allerdings werden Sie sich meinen Vortrag anhören müssen, um herauszufinden, was das ist! ;-)
Bio-Hacking und die globale DIYbio Szene – Eine Einführung - Rüdiger Trojok
Wer sind die Biohacker und worum geht es?
Die Thematik wird anhand des Beispiels der Antibiotikaresistenzenzentwicklung in Bakterien abgehandelt - ein alltägliches, aber umso drängenderes Problem, das die gesamte Gesellschaft betrifft. Es ist weder allein durch besseres gesellschaftliches Management, noch durch einen reinen Technofix zu beherrschen. Die Lösung: transdisziplinäres Arbeiten und Denken, offenes Wissen und eine maximale Involvierung der Bürger als Citizen Scientists.
Im Vortrag werden aktuelle Möglichkeiten diskutiert, wie moderne Life Science außerhalb von Instituten durchgeführt werden kann und was mögliche Anwendungen sind. Dabei werden die praktischen Schwierigkeiten angesprochen und erörtert, wo Chancen, Risiken und Handlungsbedarf liegen.
Stay Out of the Kitchen: A DLP Security Bake-Off – Zach Lanier
Trotz zahlreicher Standards und Zertifizierungen im Bereich Datensicherheit und Datenschutz sickern Daten bei Unternehmen und ihren Systemen noch immer durch wie bei einem Sieb. Data-Loss-Prevention (DLP)-Lösungen werden oftmals als „Wunderwaffe“ angepriesen, um Unternehmen vor der nächsten Schlagzeile zu bewahren.
Einsatzmodelle für DLP-Lösungen reichen von Agenten auf Endgeräten über blinkende Netzwerkgeräte, die den gesamten Netzwerkverkehr überwachen bis hin zu einem einheitlichen Threat Management Gateway mit DLP-Magie. Diese Lösungen sind reif dafür, umgangen zu werden – wenn nicht sogar schlimmer.
Der Vortrag wird sich mit unserer Recherche zu einigen DLP-Lösungen auseinandersetzen und sowohl deren Möglichkeiten als auch Defizite aufgreifen. Wir werden Schwachstellen von Administrations- und Programmierschnittstellen sowie von den Analysealgorithmen an sich aufzeigen.
Where Flow Charts Don't Go: An Examination of Web Application Security Process Management – Jeremiah Grossman
Der Schwerpunkt des Vortrags liegt auf strategischen Herausforderungen, die sich darauf auswirken, wie sich ein Unternehmen gegen die aktuellsten Sicherheitsbedrohungen schützt. Konkret werden wir uns ein Bild davon machen, wie effektiv die Sicherheitsgegenmaßnahmen des Vendor Building Security In Maturity Model (vBSIMM) für „reale“ Anwendungen sind.
„Vertrauen“ in Computersysteme und Netzwerke - Felix „FX“ Lindner
Der Vortrag richtet sich an all diejenigen, die schon einmal an dem vermeintlichen „Vertrauen“ von Computersystemen und Netzwerken verzweifelt sind. Wir sind gezwungen, mit einem Modell zu arbeiten, das lediglich "vertrauenswürdige" und "nicht vertrauenswürdige" Einheiten darstellen kann, ohne jedoch verlässlich zu sagen „Ja, aber…“. Hinzu kommt, dass wir mit einem als PKI bekannten Master-Kontroll-Programm kommunizieren müssen, nur um eine dieser einfachen Behauptungen "vertrauenswürdig" bzw. "nicht vertrauenswürdig“ zu bestätigen.
Zweck des Vortrags ist es, über Szenarien zu sprechen, in denen dies katastrophal, unpraktisch oder von unzureichender Granularität war oder ist. Eine standardisierte Alternative zur Darstellung von Vertrauensbeziehungen soll als Beispiel dienen, um zu bestimmen, ob von Teilnehmern vorgestellte Szenarien davon profitieren würden und wie diese besonderen Szenarien aussehen würden.